セキュリティ 


本装置には、新しいリモート管理機能が備えられています。この機能を使用するには、本装 
置のネットワーク • インターフェースに IP アドレスを割り振る必要があります。したがつ 
て、セキュリティも、配慮すべき問題の1つとして考えなければなりません。リモートで本 
装置を管理する場合は、第6章「リモート管理」の「アクセス制御」の節を必ずお読みくださ 
い。 






単 ー サーバ • アクセラ レー シヨン 


本装置は、単一のサーバへの SSL 処理の要求に対処する構成で使われる場合があります。単 
ーサーバ構成は、最も単純なサーバ構成です。このサーバ構成では、本装置を ルータと サー 
パの間にあるネットワークに接続します。設置においては、セキュリティを高め、管理をし 
やすくするために、本装置とサーバを同じラックに配置する等、近距離に配置することを心 
がける必要があります。 



本装置 




■ ■ : 


図 3-1 単ーサーバ構成 



複数サーバ構成 

本装置は、 SSL 処理を複数サーバ構成で行うときにも使用できます。複数サーバ構成では、 
本装置をルータとスイッチの間に接続します。サーバに向けて送信されたトラフィックを、 
本装置がいったん取り込み、処理を行います。その他のトラフィックはそのまま通過してい 
きます。 


サーバ1 



図 3-2 複数サーバ構成 
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ITM(lnternet Traffic Management ) デバイスの操作 

本装置には、 ITM(lnternet Traffic Management ) デバイスとの互換性があります。 ITM デバ 
イスを使用する場合は、本装置をルータと ITM デバイスの間に接続するか、 ITM デバイスと 
サーバの間に接続します。 ITM デバイスは、通信負荷を複数のサーバに分散させ、コンテン 
ツごとにトラフイックを分類して分散させます。 


ITM デバイスがレイヤ7のトラフィック管理をサポートしている場合は、トラフィック上の 
URL が読み取り可能(暗号化されていない)であることが必要です。このような環境では、本 
装置を ITM デバイスとクライアント • ネットワークの間に配置することを推奨します。 

サーパ1 


ル ー 々 本装置 



クライアント 

図 3-3 ルータ- ITM デバイス間への配置 


ットワーク間への配置 


ITM デバイス■クライアン 


操作の基本 



SM 
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■TM デバイス-サーバ間への配置 


セキュリティ要件で、暗号化されていないデータによる通信を制限している場合は、本装置 
を ITM デバイスとサーバの間に配置する必要があります。 


ITM デバイス 本装置 




サーバ' 


図 3-4 ITM デバイス-サーバ間への配置 

ゾ 図 3-4 のこの構成を採用する場合は、レイヤ7の□ー ドバランシングを行うことができませ 
ん。この構成では、 ITM デバイスを通過するセキュアトラフィックは暗号化されているから 
です。 
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複数の本装置をカスケード接続する場合 


スケーラビリテイとカスケード接続 


複数の本装置をカスケード接続することにより、本装置の性能を拡張できます。カスケード 
接続では、前段の本装置の Server 側ポートと後段の Network 側ポートをケーブルで接続し 
て、最後段に接続した本装置の Server 側ポートをスイッチやサーバまたは ITM デバイスに接 
続します。 


Spill 機能 


本装置の 「 spill 」( spill は「あふれ」と言う意味)オプションが有効になっている場合は、本装置が 
ある特定の時間内でリクエストを処理しきれなかった場合、そのリクエストは処理されずそ 
のまま暗号化された状態で次段のインライン状態の本装置に渡されます。また、最後段の本 
装置でも 「 spill 」 が有効になっていれば、同様に、そこで処理できなかったリクエストはその 
ままサーバに渡されることとなります。この 「 spill 」 機能は接続ごとに動的に動作し、つまり 
各装置ごと単独で、他の装置と連携せずに動作状態が決定されます ( spill コマンドについては 
第5章「コマンド • リファレンス」を参照してください)。 spill 機能が無効になっている場合 
は、本装置「スロットル」状態になります。この場合、本装置は、過負荷状態が解消されるま 
で、着信した要求を受け入れません。 

八プ/ルータ/スイッチ 本装置 本装置 本装置 / ■ 



図 3-5 カスケード接続 


可用性 ( Availability ) 


フェイルスルー•モードが有効になっているとき、本装置に障害が発生するか、または 
Bypass モードに設定すると、本装置は、その機能がなんらかの原因によって停止した場合 
に、その2つの RJ -45 コネクタを内部で直接接続し、停止状態が解除されるまで、トラ 
フィックを何の処理もせずに通過させます。この機能により、単一の装置の故障がネット 
ワーク全体に影響を与えるのを防止し、高いレベルの可用性を提供することが可能になりま 
す。また、前述したように、複数の本装置を用いる場合は、後段にカスケードされるユニッ 
卜によって暗号化/複号化処理能力を追加することができます。また、単一の装置を用いる 
場合でも、サーバに処理の一部を任せることができます。詳細については、付録 B 「 障害/パ 
イパス • モード」を参照してください。 


操作の基本 
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鍵と電子証明書 

本装置を使用するには、鍵と電子証明書が必要です。鍵は、データの暗号化/複号化に使用 
される一連の数値です。また、電子証明書は、サーバやユーザを特定化する「書類」です。電 
子証明書には、ユーザーの会社に関する情報のぼか、ユーザーの身元を証明する第三者の情 
報も含まれています。 

鍵と電子証明書は、次の3とおりの方法で取得できます。 

• VeriSign 社をはじめとする認証局から電子証明書を取得 
• 既存の鍵/電子証明書を使用 
• 新しい鍵/電子証明書を本装置で作成 

I n -〇 本装置ではテスト用に電子証明書を作成することができますが、実際に使用する電子証明書 
は、認知されている認証局から取得する必要があります。 


八イバ _ 夕 _ ミナルでのカツト&ぺ _ スト 


次のいくつかの手順では、カツト&ペースト機能を使用します。ここでは、ハイパーターミ 
ナルを使用するものとしてカツト&ペーストの方法を説明します。これ以外のターミナル • 
プログラムを使用する場合は、その製品のマニュアルに記載されている正しい手順を参照し 
てください。 

ハイパーターミナルからアイテム(鍵データ、証明書署名要求、証明書等)をコピーするに 
は、次のよラにします。 


1. ハイパーターミナルウィンドウを開きます。 

2. アイテムを選択して、クリック、ドラック'します。 

3. アイテムを選択したら編集メニューを開き、コピーをクリックします ( Ctrl - C )。 

4. データの貼り付け先のウィンドウを開き、適切な位置に力ーソルを置きます。 

5. 編集メニューの貼り付けをクリックします (Ctrl - V )。 

以上の操作は最初の1回のみ行います。 

ハイパーターミナルにコピーしたアイテム(鍵データ、証明書署名要求、証明書等)を貼り付 
ける(ペーストする)には、次のようにします。 

1. 適切なアプリケーション•ウィンドウ内のアイテムを表示し、クリックとドラッグによってその 
アイテムを選択します。 

2. アイテムを選択して編集メニューをクリックし、コピーを選択します。 （ Ctrl - C ) 

3. ハイパーターミナルウィンドウに移動し、適切な位置に力ーソルを置きます。 

4. 編集メニューのホスト側に貼り付けを選択します (Ctrl - V )。 
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VeriSign 社をはじめとする認証局からの電子証明書の取得 


create key コマンドを使って鍵を作成します 。 create sign コマンドを使って、署名要求 
( CSR ) を作成します。作成した署名要求は、認証を受け署名をしてもらうために認証局 
( VeriSign 社など)に送ります。すると、1〜5日間程度で署名済みの電子証明書が返送されて 
きます。この電子証明書を本装置にインポートするには 、 import cert コマンドを使用しま 
す。 

署名要求を作成するとき、各フィールドに入力した情報のことを総称的に 「D N 
(Distinguished Name / 識別名)」と呼びます。追加のセキュリティ機能を実現するために、 
DN が一意な値になるよラに、フィールドに入力した値の一部に変更が必要となる場合があ 
ります。 

I H -〇 鍵を作成した場合は、必ず設定を保存してください。設定の保存には、 configsave コマ 
隨^ ンドを使用します。また export key コマンドでバックアップを作ることを推奨します。鍵 
が保存されていないと、取得した電子証明書が使えません。 


鍵を作成するには、次のようにします。 

1. プロンプトに create key コマンドを入力します。 

Intel 7110> create kev 

Key strength (512/1024) [512] : 

New keylD [001]: 002 

Keypair was created for keyID : 002 

2. 電子証明書署名要求を作成します。 

Intel 7110> create sign 002 

You are about to be asked to enter information that will be incorporated 
into your certificate request. The "common name" must be unique. For 
other fields, you could use default values. 

以下の説明に従い要求される項目に入力していきます。 

各認証局が持つ固有のガイドラインに従って本装置からの問い合わせに回答することが必要で 
す。こうしたガイドラインは認証局によって異なっているため、 CSR(Certificate Signing 
Request/ 電子証明書署名要求)の送付先として選択した認証局のガイドラインを参照する必要が 
あります。署名要求 (CSR) に組み込む情報を入力するときは、次のことに注意してください。 

• Country Code : 国名を表す2文字の略語。 IS 〇形式(日本の場合はことなります。 

• State or Province : 電子証明書を必要とする組織の本社がある州 0 州名を省略しないで入 
力してください(日本の場合は都道府県名)。 

• Locality : 通常、組織の本社がある市 

• Organization : ドメイン名を所有している組織名(企業名、大学名、政府機関名など)です 0 
行政区画(国、州、市など)レベルで登録されている正式な名前を使用してください。組織名の 
省略や、次の特殊文字の使用は不可です。：<>~丨@#$96 △*/¥()? 

• Organization Unit : 通常、電子証明書を使用する部門またはグループの名前です。 

• Common name : サーバの DNS ルックアップ処理で使用する「完全修飾ドメイン名 (FQDN)」 
であり、 URL とも呼ばれます (www.mysite.com など)。ブラウザは、この情報を使って Web サ 
イトを確認します。ブラウザによっては、サーバ名と電子証明書に組み込まれている Common 
name が一致しないとき、安全なコネクションの確立を拒否するものもあります。 Common 
name には、プロトコル指定子 「http ゾ/」やポート番号、パス名などを含めないでください。ま 
た、「*」、「？」などのワイルドカードや IP アドレスの使用は不可です。 

• Email address : 電子証明書を管理する担当者の電子メールアドレス。 
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3. CSR をエクスポートします。 

ここでは、コンソールポートに接続されている PC に、 xmodem を使って CSR を送る例を示しま 
す。 


Intel 7110> export sign mywebserver 

Export protocol: (xmoaem, uuencode, ascii) 
[ascii] : x <Enter> 

Use Ctrl-x to kill transmission 
Beginning export... 

Export successful! 

Intel 7110 > 


CSR を認証局に送る場合は、認証局が用意しているオンラインのフォームに、この結果表示され 
る内容をコピーして貼り付けます。このときに、「 ----- BEGIN CERTIFICATE REQUEST ----- 」 
という行と「 ----- END CERTIFICATE REQUEST -----」 という行も含めて貼り付けるようにして 
ください。 

CSR の一般的な例は以下のようになります。 

- BEGIN CERTIFICATE REQUEST - 

MIIBnDCCAQUACQAwXjELMAkGAlUEBhMCQOExEDOABgNVBAgTB 
0 9udGFayW8xEDAOBgNVBAcTB01vbnRyYWwxDDAKBgNVBAoTA0 
tGQzEdMBsGAlUEAxMUd3d3Lmlsb3ZlY2hpY2tlbi5jb20wgZ0 
wDQYJKoZIhvcNAQEBBQADgYsAMIGHAoGBALmJA2FLSGJ9iCF8 
uwf PW2AKkyyKoe9aHnnwLLw8WTA/3hl Lww9pLietwX3bp6Do8 7m 
wV3jrgQIOlwarj 9iKMLT6cSdeZOOTNn7vvJaNvliCBWGNypQv 
3kVMMzzjEtOl2uGl8VOyeE7jImYj4HlMa+R168AmXT82ubDR2 
ivqQwl7AgEDoAAwDQYJKoZIhvcNAQEEBQADgYEAn8BTcPg40w 
ohGIMU2 m3 9 FVvh0M 8 6 ZBkANQCEHxMzzrnydXnvRMKPSE208x3 
Bgh5cGBC47YghGZzdvxYJATlvbkfCSBVR9GBxef6ytkuJ9YnK 
84Q8x+pS2bEBDnwOD2MwdOSFlsBblbcFfkmbpjN2N+hqrrvA0 
mcNpAgk8nU= 

- END CERTIFICATE REQUEST - 

4. 認証局から返送されてきた署名済みの電子証明書を本装置にインポートします 。 import cert コマ 
ンドにキ ー ID を指定して実行し、鍵のインポートに使用するプロトコルを選択します。ここで 
は、 p (貼り付け)を選択します。最後にピリオドを3つ入力し、コマンドラインに戻ります。 

Intel 7110> import cert mywebserver 

kevid is mywebserver ； 

Import protocol : (paste, xmodem, uudecode) 

[paste] : <Enter> 

Type or paste in date, end with ... alone on line 
- BEGIN CERTIFICATE - 

MIIDKDCCAtKgAwIBAgIBADANBgkqhkiG9w0 BAQQFADCBnDELM 
AkGAlUEBhMCVVMxCzAJBgNVBAgTAkNBMQ4wDAYDVQQHEwVQb3 
dheTEaMBgGAlUEChMRQ2 91bWVyY2Ug 


- END CERTIFICATE - <Enter> 

...<Enter> 

Import successful! 

Intel 7110 > 


3-8 















5. サーバ 1 のマッピングを作成します 。 create map コマンドを使って、サーバの IP アドレス、ポー 
卜、鍵情報(キ _ ID ) を指定してください。 

Intel 7110 > create map 

Server IP (0.0.0.0) : 10.1.1.30 

SSL (network) port [443] : <Enter> 

Cleartext (server) port [80] : <Enter> 

KeylD to use for mapping : mywebserver 

6. マッピングの作成後、設定を保存します。 

Intel 7110 > config save 
Saving configuration to flash... 

Configuration saved to flash 
Intel 7110 > 


操作の基本 
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既存の鍵/電子証明書の使用 


鍵/電子証明書をサーバからエクス ポー ト 

ここからは、既存の鍵と電子証明書を使用する方法について説明します。 

鍵と電子証明書をエクスポートする方法の詳細については、サーバ • ソフトウェアのマニュ 
アルを参照してください。エクスポートが完了したら 、 import key コマンドと import cert コ 
マンドを使って、鍵と電子証明書を本装置に貼り付けます。次に 、 Apache Web Server 製 
品を使用する場合の一般的な処理方法を示します。 

以下に示す手順は、システム構成の違いなどによって、異なる場合があります。特に環境変 
数 ($ APACHR 〇〇 T ) が設定されていないことがあり、その際は各システムの Apache ソフト 
ウェアや SSL ソフトウェアのインストール情報から同等の情報を判別する必要があります。 


OpenSSL を用いた Apache(mod—ssl) 

1 . $ APACHER 〇〇 T / conf / httpd . conf ファイルを参照して、 *. key ファイル(鍵ファイル)の場所を調 
ベます。 

2. 鍵データをコピー&ぺーストします。 


電子証明書： 

1. $ APACHER 〇〇 T / conf / httpd . conf ファイルを参照して、 *. crt ファイル(電子証明書ファイル)の 
場所を調べます。 

2. 電子証明書ファイルをコピー&ペーストします。 


Apache SSL 

1 . $ APACHESSLR 〇〇 T / conf / httpd . conf フアイルを参照して、 *. key フアイル(鍵フアイル)の場所 
を調べます。 

2. 鍵データをコピー&ぺーストします。 


電子証明書： 

1 . $ APACHESSLR 〇〇 T / conf / httpd . conf ファイルを参照して、 *. cert ファイル(電子証明書ファイ 
ル)の場所を調べます。 

2. 電子証明書ファイルをコピー&ペーストします。 
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stronghold 


鍵： 

1. $ STRONGH 〇 LDR 〇〇 T / conf / httpd . conf ファイルを参照して、 *. key ファイル(鍵ファイル)の場 
所を調べます。 

2. 鍵データをコピ ー& ペーストします。 


電子証明書： 

1 . $ STRONGHOLDR 〇〇 T / conf / httpd . conf ファイルを参照して、气 cert ファイル(電子証明書ファ 
イル)の場所を調べます。 

2. 電子証明書ファイルをコピー&ぺーストします。 


本装置へのインポー 



import key コマンドにキ ー ID を指定して実行し、インポートに使用するプロトコルを選択しま 
す。ここではデフォルトの 「 paste 」 を選択します。最後に改行マークの後にピリオドを3つ入力 
し、コマンドラインに戻ります。 

Intel 7110> import key mywebserver 

Import protocol : (paste, xmodem, uudecode) 

[paste] : <Enter> 

Type or paste in date, end with ... alone on line 
- BEGIN RSA PRIVATE KEY - 

MIIBOgIBAAJBALGOlBH14vIdtfuA+UnyRIoKyal3ey8mj3GDQ 
akdwoDJALu+jtcC 


S9dPdwp6zctsZeztn/ewPeNamz3q8QoEhY8CawEA 
- END RSA PRIVATE KEY - <Enter> 

...<Enter> 

Import successful! 

Intel 7110 > 


操作の基本 
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2. import cert コマンドにキ ー ID を指定して実行し、インポートに使用するプロトコルを選択しま 
す。ここでは、デフォルトの 「 paste 」 を選択します。最後に改行マークの後にピリオドを3つ入力 
し、コマンドラインに戻ります。 


Intel 7110> import cert mywebserver 

keyid is mywebserver ； 

Import protocol : (paste, xmodem, uudecode) 

[paste] : <Enter> 

Type or paste in date, end with ... alone on line 
- BEGIN CERTIFICATE - 

MIIDKDCCAtKgAwIBAgIBADANBgkqhkiG9w0 BAQQFADCBnDELM 
AkGAlUEBhMCVVMxCzAJBgNVBAgTAkNBMQ4wDAYDVQQHEwVQb3 
dheTEaMBgGAlUEChMRQ29tbWVyY2Ug 


- END CERTIFICATE - <Enter> 

...<Enter> 

Import successful! 

Intel 7110 > 


3. サーバのマッピングを作成します 。 create map コマンドを使って、サーバの IP アドレス、ポー 
卜、キ ー ID(key ID ) を指定してください。 

Intel 7110> create map 

Server IP (0.0.0.0): 10.1.1.30 

SSL (network) port [443] : <Enter> 

Cleartext (server) port [80] : <Enter> 

KeylD to use for mapping : mywebserver 

4. マッピングの作成後、設定を保存します。 


Intel 7110> config save 
Saving configuration to flasn... 
Configuration saved to flash 
Intel 7110 > 
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新しい鍵/電子証明書の作成 


create key コマンドと create cert コマンドを使って、本装置での処理に使用する新しい鍵 
と電子証明書を作成します。この方法は、サーバ上に鍵や電子証明書がない場合に選択でき 
ます。この方法には、鍵と電子証明書をすぐに取得できるという利点がありますが、認証局 
による署名はありません。 

電子証明書を作成するとき、各フィールドに入力した情報のことを総称的に 「DN 
(Distinguished Name / 識別名)」と呼びます。追加のセキュリティ機能を実現するためには、 
DN が一意な値になるよラに、フィールドに入力した値の一部の変更が必要となる場合があ 
ります。 

1. 次のようにして鍵を作成します。 

Intel 7110> create key 

Enter the key strength L 512,102 4]: 512 

New keylD [001]: mywebserver 

Keypair was created for keyID: mywebserver 

2. create cert コマンドに KeylD を指定して実行します。 

Intel 7110> create cert mywebserver 

You are about to be asked to enter information? 

電子証明書情報の入力を求めるプ□ンプトが表示されます。次の各情報を入力してください。 

• Country Code (国コード） 

• State or Province (都道府県名） 

• Locality (市町村名） 

• Organization ( ドメイン名を所有している組織名） 

• Organization Unit (部署名等） 

• Gornmon name (イ歹 II : www . myserver . com ) 

• Email address (電子メールアドレス） 

3. サーバのマッピングを作成します。 create map コマンドを使って、サーバの IP アドレス、ポー 
卜、キー ID ( KeylD ) を指定してください。 

Intel 7110> create map 

Server IP (0.0.0.0): 10.1.1.30 

SSL (network) port [443] : <Enter> 

Cleartext (server) port [80] : <Enter> 

KeylD to use for mapping : mywebserver 

4. マッピングの作成後、設定を保存します。 

Intel 7110> config save 

Saving configuration to r 丄 ash... 

Configuration saved to flash 
Intel 7110 > 
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グローバル • サイト電子証明書 


概要 

ここでは、以下の4種類の電子証明書について説明します。 

• ルート CA 電子証明書。 VeriSign などの信頼できる認証局 ( CA ) の電子証明書。 

• サーバ電子証明書。サーバ上に□ー ドされる、自己生成された電子証明書または 
VeriSign などの認証局から受け取った電子証明書。要求の発信元のブラウザが持つルー 
卜 CA 電子証明書との相互作用によって、暗号化通信のための認証が行われます。 

• グローバル • サイト電子証明書。拡張されたサーバ電子証明書。米国国外への輸出向け 
に機能が制限されたブラウザでも128ビット暗号化を使用できるようにします。 

• 中間認証局(中間 CA ) 電子証明書。「他の CA によって署名された CA 」 の電子証明書。 
VeriSign などの公認の認証局によって認証され、グローバル • サイト電子証明書の有効 
性の確認に使用されます。以下の説明では、「中間 CA 電子証明書」と呼びます。 

Internet Explorer および Netscape Communicator の米国国外向けの旧版は、40ビット暗号 
化を使用して SSL サーバにコネクションを張ります。 SSL サーバは、クライアントからの要 
求を受信すると、電子証明書を返信します。この電子証明書が従来のサーバ電子証明書であ 
る(つまり、グローバル•サイト電子証明書ではない)場合は、ブラウザとサーバは、 SSL ハ 
ンドシェークを完了し、40ビット鍵を使用してアプリケーション • データを暗号化します。 
しかし、 SSL サーバが要求の発信元のブラウザにグローバル • サイト電子証明書を返信した 
場合は、クライアントは、自動的に再度コネクションを張り、128ビット暗号化を使用しま 
す。 

グローバル • サイト電子証明書は、それに対応する中間 CA 電子証明書とその中間 CA 電子証 
明書に署名をした CA のルート電子証明書よって有効性が確認されます。（電子証明書の連鎖 
と呼びます 0 冲間 CA 電子証明書には、 Microsoft SGC Root や VeriSign Class 3 CA など 
があります。ブラウザは、サーバに対して証明書を要求します。サーバは、その要求に対し 
グローバル • サイト電子証明書と対応する中間 CA 電子証明書を送ります。ブラウザは、受 
け取った中間 CA 電子証明書に署名しているルート CA の電子証明書をブラウザ内にあらかじ 
め登録されている電子証明書の中から探し有効性を確認します。この結果この中間 CA 証明 
書の有効性が確認され、そしてグローバル • サイト電子証明書の有効性が確認されます。有 
効性が確認されると128ビット暗号化通信が使用可能になります。 


グローバル • サイト電子証明書の貼り付け手順 

本装置は、1 つのマッピングにつき 1 つの ルート CA 電子証明書と、1 つのマッピングにつき 
\ TW ] 複数の中間 CA 電子証明書をサボートします。 


グローバル • サイト電子証明書を使用する場合は、グローバル • サイト電子証明書とそれに 
対応する中間 CA 電子証明書をインポートする必要があります。2つの電子証明書は、1つの 
ファイルに結合されていなければなりません。 
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import cert コマンドを使用して、単一の電子証明書や連鎖した複数の電子証明書をインポー 
卜できます。2つの連鎖した電子証明書を使用する場合は、最初にサーバのグローバル•サ 
イト電子証明書を貼り付け、次に中間 CA の電子証明書を貼り付けます。中間 CA の電子証明 
書の後に改行してピリオドを3つ入力します。 

■： 電子証明書の前後や2つの電子証明書の間にスペース文字があってはなりません。また、 

r^TFI " Begin " ヘッダと " End ..." トレーラは、すべてそのまま残しておかなければなりません。 


例： 

Intel 7110 > import cert <keyID> 

Import protocol : (paste, xmodem, uudecode) 

[paste] : 

Type or paste in data, end with ... alone on line 
- BEGIN CERTIFICATE - 

MIIFZTCCBM6gAwIBAgIQCTN2wvQH2CK+rgZKcTrNBzANBgkqh 
kiG9w0BAQQFADCBujEfMB0GAlUEChMWVmVyaVNpZ24gVHJlc3 
QgTmVOd29yazEXMBUGAlUECxMOVmVyaVNpZ24sIEluYy4xMzA 
xBgNVBAsTKlZlcmlTaWduIEludGVybmF0aW9uYWwgU2Vy 

dmVyIENBIC0gQ2xhc3MgMzFJMEcGAlUECxNAd3d3LnZlcmlza 

WduLmNvbS9DUFMg 

SW5jb3JwLmJ5IFJlZi4gTElBQklMSVRZIExURC4oYyk5NyBWZ 

XJpU21nbjAeFw05 

OTExMTEwMDAwMDBaFwOwMDExMTAyMzU5NTlaMIHHMQswCQYDV 

QQGEwJVUzETMBEG 

- END CERTIFICATE - 

- BEGIN CERTIFICATE - 

MIIEMTCCA5qgAwIBAgIQI2yXHivGDQv5dGDe8QjDwzANBgkqh 
kiG9wOBAQIFADBfMQswCQYDVQQGEwJVUzEXMBUGAlUEChMOVm 
VyaVNpZ24sIEluYy4xNzAlBgNVBAsTLkNsYXNzIDMgUHVibGl 
jIFByaWlhcnkgQ2VydGlmaWNhdGlvbiBBdXRob3JpdHkwHhcN 
OTcwNDE3MDAwMDAwWhcN 

OTk3IFZlcmlTaWduMAOGCSqGSIb3DQEBAgUAA4GBALiMmMMrS 
PVyzWgNGrNOY7uxWLaYRSLsEY3HTjOLYlohJGyawEKORak6+2 
fwkb4YH9VIGZNrjcs3S4bmfZv9jHiZ/4PC/ 
NlVBp4xZkZ9G3hg9FXUbFXIaWJwfE22iQYFm8hDjswMKNXRjM 
lGUOMxlmaSESQeSltLZl5lVR5fN5qu 

- END CERTIFICATE - <Enter> 

...<Enter> 

Import successful! 

Intel 7110 > 
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リダイレクション：瞬方式をサボ-卜しないクライアント 

選択された暗号方式をサボートしないクライアントが本装置にコネクションを張ろうとした 
場合、デフォルトの動作では、そのコネクションが拒否されます。この場合、クライアン 
卜 • システムは致命的エラーを報告します。しかし、本装置では、管理者が「リタ'イレクト • 
アドレス」を指定し、そのアドレスでクライアントに追力□情報を提供することができます。 
set redirect コマンドを使用して、任意のマップ D に対してリタ'イレクト Web アドレスを指 
定できます 。 show redirect コマンドは、現在設定されているリタ'イレクト • アドレスをす 
ベて表示します。 

ゾ 管理者は、リダイレクト URL を指定し、その URL が使用可能であることを確認しなければ 
なりません。また、リダイレクト • ページの内容を定義しておかなければなりません。 


91-0 クライアントが、リダイレクト URU こ従って、リダイレクションを発生させた本装置の 
マッピングと同じマッピングにアクセスした場合は、無限ループ状態が発生します。 


Intel 7110> list map 


Map Net Ser Cipher Re- Client 

ID KeylD Server IP Port Port Suites direct Auth 


1 default Any 443 80 all(v2+v3) n n 

2 sample 10.1.2.5 443 80 med(v2+v3) n n 

Intel 7110 > set redirect 2 

Enter a redirect URL at following prompt 
e.g. http ： //www.e - comm site.com/weakbrowser.html 

Enter redirect URL [] : http://www.e-comm site.com/ 
cipherinfo.html 

Intel 7110 > list map 

Map Net Ser Cipher Re- Client 

ID KeylD Server IP Port Port Suites direct Auth 


1 default Any 443 80 all(v2+v3) n n 

2 sample 10.1.2.5 443 80 med(v2+v3) y n 

Intel 7110 > show redirect 2 

Redirect URL for map 2 is set : http://www.e_ 
comm site.com/cipher info.html 
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特定のマッピングのリタ'イレクト URL を無効にするには、次のようなコマンドを使用しま 
す。 

Intel 7110> set redirect 2 none 
Intel 7110 > show redirect 2 

Redirect URL for map 2 is not set 
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クライアント認証 

デフォルトでは、本装置はクライアントの認証をしません。ただし、クライアントを認証の 
ためにクライアント電子証明書を要求するように、特定のマップ ID を設定しておくことがで 
きます。この機能が有効になっている場合、本装置は、信頼している CA がクライアント電 
子証明書に署名しているかどうかを確認します。この機能は 、 import client _ ca コマンドに 
よって制御されます。 

例： 

最初に 、 list map コマンドを使用して、現在のマップ D とそれらの設定を表示します。最後 
の項目は、クライアント認証機能が有効 ( y ) になっているか無効 ( n ) になっているのを示して 
います。 


Intel 7110> list map 

Map Net Ser Cipher Re- Client 

ID KeylD Server IP Port Port Suites direct Auth 


1 default 

Any 443 

80 

all(v2+v3) n 

n 

2 sample 

10.1.2.57 443 

80 

med(v2+v3) n 

n 


次に、マップ ID 2 にクライアント用 CA 電子証明書をインポートします。 

Intel 7110> import client ca 2 

Import protocol : (paste, xmodem, uudecode) 

[paste] : <Enter> 

Type or paste in data, end with ... alone on line 
- BEGIN CERTIFICATE - 

MIIDxzCCAzCgAwIBAgIBADANBgkqhkiG9wOBAQQFADCBpDELM 
AkGAlUEBhMCWMxEzARBgNVBAgTCkNhbGlmb3JuaWExEjAQBg 
NVBAcTCVNhbiBEaWVnbzEUMBIGAlUE 


XcCabZcfBRuYcZeU 〇 NrGUl8tD80jp2YNGlvidgLEaDlYCli5I 
9/mNrcB25mSfdAR 

/ 08ROTMxm4VKOSA= 

- END CERTIFICATE - <Enter> 

...<Enter> 
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list map コマンドをもう一度使用して、インポートの結果を確認します 。 Client Auth の項目 
で、マップ D 2のクライアント認証機能が有効になっていることに注意してください。 

Intel 7110> list map 

Map Net Ser Cipher Re- Client 

ID KeylD Server IP Port Port Suites direct Auth 


1 default Any 443 80 all(v2+v3) n n 

2 sample 10.1 .2.57 443 80 med(v2+v3) n y 

"map 2 n にコネクションを張ろうとするクライアントは、上記の手順でインポートされた電 
子証明書が証明する CA が署名したクライアント電子証明書を提示するように要求されます。 
正しい署名を持つ電子証明書を提示しない場合は、コネクションは拒否されます。 


OpenSSL を使用したクライアント CA 電子証明書の作成 


クライアント電子証明書を生成する際は、市販のソフトウェア • パッケージを使用できま 
す。この作業は、手動で実行することもできます。以下の例は、 OpenSSL を使用した手順 
を示しています。 

ユーザーの環境に〇 penSSL のコピーを取得するには、〇 penSSL の Web サイト 
I レ、/卜 I ( www . openssl . org ) にアクセスします。 


1. クライアント CA 用の鍵のペアを生成します。 
openssl genrsa -out ca key.pem 1024 

2. クライアント CA 電子証明書を生成します。 

openssl req -new -x 509 -config intel.cnf -key ca_key.pem 
-days 365 -out ca cert.pem 

ここでは inteLcnt は〇 pen SSL 用のコンフィグレーシヨン • ファイルです。作成方法については 
http :// www . openssl . org などのサイトを参照してください。 

3. import client ca コマンドを使用して、 ca _ cert . pem をインポートします。 
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各クライアントについて、以下の手順を実行します。 

■I： この例では、 ca_cert.pem は、信頼できる CA の署名済みの電子証明書です。 

fETTI 

1. 鍵のペアを生成します。 

openss 丄 genrsa -out key.pem 1024 

2. 電子証明書署名要求を生成します。 

openssl req -new -coring intel.cnf -days 365 
-key key.pem -out csr.pem 

3. クライアント CA 電子証明書を使用して、クライアント電子証明書署名要求に署名します。 

openssl x509 -req -CAcreateserial -CAkey ca key.pem -CA ca cert.pem - 
days 365 -in csr.pem -out cert.pem 

4. 署名済みの電子証明書の形式を PEM 形式から PKCS 12 形式に変換します。 

openssl pkcsl2 -export -in cert.pem - inkey key.pem -name 
” < 証明書識別名>” -out cert. pl2 

5. 手順 4 で得られた出カファイル(署名済みの電子証明書 certp 12) を、クライアント•ブラウザにイ 
ンポートします。 
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SSL の処理 

本装置を使用することにより、複数の SSL プ□トコルを処理できます。デフォルトの SSL プ 
□トコルは HTTPS です。また、セキュリティ保護の目的で、特定の IP アドレスや特定の ポー 
卜へのアクセスもブロックできます(「ブロック」を参照)。マッピングされないトラフィック 
やブロックされないトラフィックは透過的に受け渡されます(「障害発生時の処理-フェイル 
セーフとフェイル スルー」 を参照)。 

サポートされるプロトコルを以下に示します(任意の空きポートを使用できますが、ここで 
は一般的なポートの割り当てを示します)。 

• HTTPS 443(デフオノレト） 

• MAPS 993 

• P 0 P 3 S 995 

• SMTPS 465 

• NNTPS 563 

• LDAPS 636 


ッビング 


鍵の組み合わせ(キーペア)と対応する電子証明書の識別にはキー ID 、 サーバの識別にはサー 
パの IP アドレスとネットワークポート番号の組み合わせを使用します。マッピングとは、こ 
のキー ID とサーバ(サーバの IP アドレス、ネットワーク側ポート番号、サーバ側ポート番号を 
使用)を対応付ける処理のことです。本装置では、次の2種類のマッピングを行うことができ 
ます。 

• 自動マッピング 
• 手動マッピング 

■I ： 最大100までの マツ ビングをサボートします。 

\TyR 


自動マッピング 

自動マッピングを行う場合は、サーパの IP アドレスとして 0.0.0. 〇を指定します。このように 
指定すると、本装置はすべてのサーバに対する特定のポート番号(後述のデフォルト)へのパ 
ケットに割り込むようになります。マッピング•エントリを作成するときは、サーバの IP ア 
ドレスとネットワーク側ポート番号の組み合わせが他のエントリと重複しないよラに注意し 
てください。 

I n -0 マッピングを変更した場合は、必ず設定を保存してください。設定の保存には 、 config 
匾^ save コマンドを使用します。 
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本装置の出荷時の設定では、ネットワーク側ポート443とサーバ側ポート80の自動マッピン 
グ•エントリが用意されています。この自動マッピングエントリは、内部で生成されたデ 
フォルトのキーペアと電子証明書(キ ー ID は 「 default 」) に対応しています。この設定では、卜 
ラフィックが本装置を介して送信されるとき、ネットワーク側ポート443のすベてのサーバ 
で自動マツビングが行われます。 


ユーザー指定の鍵と電子証明書を使った自動マッビング 

自動マッピングに使用する鍵と電子証明書をユーザーが指定する場合は 、 create map コマ 
ンドを使って、初期設定の自動マッピング•エントリを新しいエントリで置き換えます。初 
期設定の自動マッピング • エントリを新しいエントリで上書きするには、同じ一意の識別子 
(サーバの IP アドレス0.0.0.0、ネットワーク側ポート 443) とユーザーが作成したキー ID を指 
定します。使用する鍵と電子証明書の取得方法に特に制限はありません(この章で説明した 
取得方法のラちいずれかを使用)。 


複数のポートを組み合わせた自動マッピング 

ネットワーク側ポート番号が一意であれば、複数の自動マッピング • エントリを指定できま 
す。たとえば、初期設定時のネットワーク側ポート (443) とサーバ側ポート (80) のほかに、 
ネットワーク側ポート (8010) とサーバ側ポート(8〇)の組み合わせを指定できます。 


自動マッピング•エントリの削除 

自動マッピング•エントリは自由に削除できます。ただし、他のマッピング•エントリを作 
成していない状態で初期設定時の自動マッピング • エントリを削除すると、自動マッピン 
グ • エントリが自動的に再生成されます。初期設定時の自動マッピング • エントリを削除す 
るには、このエントリを新しいエントリで置き換えるか、別のマッピング(自動マッピング) 
エントリを作成してから delete map コマンドを実行します。 


手動マッピング 

create map コマンドを使って、サーバごとに1つ以上のマッピング • エントリを手動でも作 
成できます。各サーバに一意のキー ID を指定するには、この方法を利用します。通常、手動 
マッピングを作成した場合は、デフォルトの自動マッピング • エントリを削除します。 
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自動マッビングと手動マッビングの組み合わせ 

自動マッビングと手動マッビングで作成したエントリを組み合わせて、最大100のエントリ 
まで使用できます。ただし、この場合は、サーバ IP アドレス、ネットワーク側ポートの組み 
合わせが一意でなければなりません。実際のマッピング手順については、第4章「設定例」で 
詳しく説明します。 

^ 手動マッビングと自動マッビングの両方を使用できる場合は、本装置は常に手動マッビング 
15 1 エッ^71 を使用します。 



本装置では、セキュリティ保護の目的で、指定の IP アドレスの指定のポートに対するブ□ッ 
クを行ラことができます。この処理は、次の情報に基づいて行われます。 

• 指定の IP アドレスの指定のポート 

• サブネットの IP アドレス、指定のポート 

• すべての IP アドレス、指定のポート 

^ ブロックは、常にマッピングの前に実行されます。 

\¥^〇] 

指定の ip アドレスの指定のポートに対するブロック 

特定のサーバの IP アドレスとポートの組み合わせをブロックするには、次のようにします。 

1. create block コマンドを入力します。 

2. IP アドレスを入力します。 

3. Enter キーを押し、デフォルトの IP ワイルドカード•マスクを受け入れます。 

4. 指定したいポート番号を入力します。 

5. Enter キーを押し、デフォルトのポート•マスクを受け入れます。 

例： 

Intel 7110> create block 

Client IP to block [0.0. 0.0]: 10.1.2.1 
Client IP mask [0.0. 0.0]: 255.255.255.255 
Server IP to block [0.0.0.0] : 20.1.2.1 
Server IP mask [0.0. 0.0]: 255.255.255.255 
Server Port to block : 80 
Server Port mask [Oxffffl : <Enter> 
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確認には 、 show block コマンドを使用します。 

Intel 7110> show block 

(1)block 10.1 .2.1 255.255 .255.255 20.1.2.1 
255.255.255.255 80 Oxffff 


指定のサブネットの指定のポートに対するブロック 

サブネットの IP アドレス、特定のポートの組み合わせをブロックするには、次のよラにしま 
す(この設定では、特定のサブネット上の全てのホストの特定のポートへのトラフィックを 
ブロックします)。 

1. サブネット IP アドレスを入力します。末尾の値は◦にします(正確にはサブネットのサイズに合わ 
せて、サブネットサイズ分の下位ビット値を0とした値を入力します)。この例では、ポート8◦の 
「1〇.1.\メ」〜「2〇.1.父メ」ではじまる卩アドレスがすべてブロックされます。 

2. サブネットマスクを入力します。ビット値に変換した後に0となるビットの IP アドレス部分を無視 
することを示しています。 

3. 特定のポートを入力します。 

4. Enter キーを押し、デフオルトのポート•マスクを受け入れます。 

例： 


Intel 7110> create block 

Client IP to block [0.0.0.0] : 10.1.2.1 
Client IP mask [0.0. 0.0]: 255.255 .0.0 
Server IP to block [0.0.0.0] : 2 0.1.2.1 
Server IP mask [0.0.0.0] : 255.255.0.0 
Server Port to block : 80 
Server Port mask [Oxffff] : <Enter> 

確認には 、 show block コマンドを使用します。 


Intel 7110 > show block 


blocks : 


(1)block 10.1.2.1 255.255 .0.0 20.1 .2.1 
255.255 .0.0 80 Oxffff 


すべての IP の指定のポートに対するブロック 

すべての IP アドレスの指定のポートに対してブロックするには、次のようにします。 

1. プロック対象の IP アドレスとして、〇.〇.〇.〇を入力します。 

2. プロック対象の IP ワイルドカード•マスクとして、◦.◦.◦.◦を入力します。 

3. 指定のポートを入力します。 

4. Enter キーを押し、デフオルトのポート•マスクを受け入れます。 
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例： 

Intel 7110> create block 

Client IP to block [0.0.0.0] : <enter> 
Client IP mask [0.0.0.0] : <enter> 
Server IP to block [0.0.0.0] : <enter> 
Server IP mask [0.0.0.0] : <Enter> 
Server Port to block : 80 
Server Port mask [Oxffff] : <Enter> 

確認には 、 show block コマンドを使用します。 

Intel 7110 > show block 


blocks : 


(1)block 

0.0 .0.0 0.0 .0.0 0.0.0.0 0.0.0.0 80 Oxffff 


プロックの削除 


次の例では、ブロック定義を削除する方法を示します。ブロック定義を削除するには、 
delete block コマンドにブロック ID を指定して実行します。この例の場合、ブロック ID は1 
です。 

1 .show block コマンドを実行し、削除するブロックを特定します。 

Intel 7110> show block 


blocks : 


(1)block 10.1 .2.1 255.255 .255.255 20.1.2.1 
255.255 .255.255 80 Oxffff 


2. delete block コマンドに、削除するブロック ID を指定して実行します。 
Intel 7110> delete block 1 


マスク値の意味 

ブロックコマンドによる IP mask や Port mask は設定 IP 値や port 値が < value > であり、通過 
しようとするトラフイックの IP 値や port 値がく passing - value 〉 の/でマスク値が < mask > の場 
合、く passing -\/ alue > AND < msak >=< value > AND く mask 〉 が成立する場合に条件が有効にな 
ります。 


操作の基本 
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障害発生時の処理 ■ フ I イルセ-フとフ I イルスル- 

本装置で障害が発生した場合に未処理のデータバケツトを通過させるかどうかは、フェイル 
セーフ • モードとフェイルスルー • モードのどちらを使用しているかによって決定します。 
フェイルスルー • スイツチは、デフォルトではフェイルセーフ • モードに設定されていま 
す。このモードでは、障害が発生している間、データ ■ バケツトは本装置を通過しません。 
詳細については、付録 B の「障害/バイパス • モード」を参照してください。 
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